Pagina principala » Cum-Pentru a » Securitatea WordPress prin deplasarea wp-config.php într-un folder non-public

    Securitatea WordPress prin deplasarea wp-config.php într-un folder non-public

    În cazul în care nu ați fost familiarizați încă, permiteți-mi să vă prezint pe dvs. wp-config.php fişier. Dacă rulați un blog WordPress.org găzduit de dvs., wp-config.php conține numele dvs. de utilizator pentru baza de date MySQL, parola bazei de date MySQL, cheile dvs. de autentificare WordPress și alte informații sensibile. Cu aceste informații, un hacker sau un scripteț script accesează fiecare conținut din blogul dvs. WordPress, oferindu-le libertatea de a șterge mesajele dvs., introduceți coduri rău intenționate, backlink către site-uri pornografice ilegale sau orice altceva doresc.

    Implicit, wp-config.php se află în același director ca blogul dvs. WordPress. Deci, dacă pagina de pornire a blogului dvs. este la mysite.com/blog, este și wp-config.php. Acest lucru nu este la fel de nesigur ca se pare că fișierele .php sunt server-side scripts care sunt procesate de server. Când vă uitați la un fișier .php, vă uitați de ieșirea fișierului. Același lucru este valabil și atunci când vedeți sursa. Singura modalitate de a descărca codul brut al unui fișier .php este prin FTP.

    Dar, doar pentru că nu puteți accesa în mod normal un fișier .php nu înseamnă că sunteți întotdeauna în siguranță ...

    Se întâmplă accidente și există vulnerabilități. Dacă configurația PHP a serverului dvs. web se defectează, tipurile MIME nu sunt configurate corect sau dacă serverul dvs. Web este altfel configurat greșit, pagina dvs. Web ar putea sfârși prin a difuza text simplu în loc de ieșire PHP procesată; care este doar câteva exemple. Și, ca și cum ai fi depanat în timpul unui raliu în liceu, durează doar o secundă secundă și înainte să-ți poți ridica chiloții înapoi, au văzut totul. Da, au văzut totul.

    În acest GroovyPost, vă voi arăta cum să vă păstrați wp-config.php cu numele de utilizator MySQL și parolele în siguranță (r). Deși nici un site web sau un blog nu este 100% dezbracat, acest sfat rapid va face ca hacking-ul blogului dvs. WordPress să fie mai dificil pentru potențialii intruși decât un site care nu a luat aceste măsuri de precauție. De obicei, simplul fapt de a fi mai sigur decât vecinul dvs. este suficient pentru a descuraja eforturile unui hacker de a deveni un alt site decât al tău. Amintiți-vă, dacă sunteți vreodată în pădure cu un grup de oameni și un urs se arată - nu trebuie să fugi mai repede decât ursul, mai repede decât ceilalți oameni. (și toate glumele la o parte, Bear mace este cel mai bun pariu dvs. dacă sunteți vreodată într-adevăr în această situație)

    Mutarea fișierului wp-config.php

    Cu permisiunile de fișier corect și cu un server web configurat corect, păstrarea fișierului dvs. wp-config.php în același director public ca restul blogului dvs. ar trebui să fie perfect. Dar, când vine vorba de protejarea site-ului dvs., securitatea este o ceapă (sau aparent Ogre); cu cât sunt mai multe straturi, cu atât mai mult.

    Codul WordPress afirmă acest sentiment și vă recomandă să mutați wp-config.php departe de locația sa implicită de instalare. WordPress.org blogurile auto-găzduite vă permit să mutați wp-config.php la un nivel de la rădăcina blogului tău. Toate acestea sunt bune și bune, dar pentru majoritatea serverelor web, un nivel superior față de rădăcina dvs. de blog este încă un director public_html. Cel mai bine este să îl puneți într-un folder care nu este un subdirector al folderului dvs. public_html sau WWW. În acest fel, șansele ca cineva să ajungă prin intermediul unui browser web sau al oricărei alte aplicații HTTP este practic zero.

    Iată ce faceți:

    Pasul 1

    Accesați site-ul WordPress.org printr-un program FTP și navigați la root.

    Pasul 2

    Descărcați wp-config.php pe hard disk.

    Pasul 3

    Redenumiți-l la altceva decât wp-config.php.

    Faceți-o ceva nonsensical, astfel încât cineva care se împiedică (poate cineva care a fost hacked în serverul dvs. partajat prin SSH) ar putea să nu o recunoască pentru ceea ce este. Deci, în loc să o numim "off-site-WordPress-config.php“ numiți-l "Futurama-fan-fic.php.“

    Pasul 4

    Încărcați fișierul redenumit wp-config.php într-un dosar deasupra folderului public_html sau www. Personal, am creat un director complet pentru fișierele de configurare în afara site-ului. Dar este probabil mai sigur să le puneți undeva mai întâmplător.

    Cel mai important lucru este să-l puneți in afara de dumneavoastră www sau public_html.

    Pasul 5

    Deschideți notepad sau alt editor PHP preferat.

    Creați un nou fișier wp-config.php care conține numai următorul cod:

    includ ( '/ home / usr / hobby-uri / Futurama-fan-fic.php');
    ?>

    Înlocuiți directorul aici cu locația serverului fișierului dvs. wp-config.php redenumit. Rețineți că aceasta nu este o adresă URL, este o cale relativă la locația serverului dvs. Deci, făcând-o:

    includ ( 'www.yourdomain.com/location/futurama-fan-fic.php');

    nu va funcționa.

    După cum probabil ați adunat, ceea ce va face este să creați, în esență,scurtătură"În fișierul dvs. real wp-config.php. Deci, dacă cineva vă hack dvs. wp-config.php fișier în directorul WordPress, tot ce vor găsi este un fișier care indică spre un alt fișier.

    Pentru distracție, vă recomandăm să adăugați un comentariu care să citească:

    // Mulțumesc Mario! Dar prințesa noastră este în alt castel!

    Pasul 6

    Încărcați noul fișier wp-config.php în rădăcina dvs. WordPress. Suprascrieți vechiul (l-ai susținut mai întâi, corect?).

    Pasul 7

    Asta e! Navigați la root-ul blogului dvs. WordPress.org pentru a vă asigura că a funcționat.

    Dacă apare o eroare care citește:

    Avertizare: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: nu a reușit să deschidă fluxul: Nu există un astfel de fișier sau director în/home/usr/public_html/blog.com/wp-config.php pe net 2

    Eroare fatala: Apelați la funcția nedefinită wp () în /wp-blog-header.php pe net 14

    Apoi înseamnă că ați introdus greșit în locația serverului în fișierul modificat wp-config.php. Dacă întâmpinați dificultăți în determinarea căii absolute a blogului dvs., creați un fișier .php cu următorul cod în el:

    Acest lucru vă va arăta calea absolută pentru orice fișier în care se află fișierul și va afișa și modul de mutare deasupra folderului public_html.

    Dacă primiți un mesaj de eroare care citește:

    Nu pare a fi a wp-config.php fişier. Am nevoie de asta înainte să putem începe. Aveți nevoie de mai mult ajutor? Am inteles. Puteți crea o wp-config.php fișier printr-o interfață web, dar acest lucru nu funcționează pentru toate setările serverului. Cea mai sigură modalitate este să creați manual fișierul.

    Apoi înseamnă că nu există nici un fișier wp-config.php în root-ul dvs. WordPress.org. Verificați dublu că ați încărcat wp-config.php modificat pe root-ul WordPress.org sau pe folderul de deasupra acestuia și pe fișierul wp-config.php redenumit într-o altă locație, nu pe viceversa.

    Concluzie

    Se va muta wp-config.php dvs. face blog-ul dvs. anti-bulletproof? Cu siguranta nu. Dar este doar unul dintre pașii pe care îi puteți lua pentru a vă face mai sigur site-ul sau blogul. Și pentru mine, mă ajută să dorm mai bine noaptea - la fel ca și punerea unui lanț suplimentar sau a unui șurub pe ușă.

    Notă: Înainte de a vă deplasa în jurul structurii de fișiere, asigurați-vă că vă întoarceți lucrurile și vă simțiți confortabil cu ceea ce faceți. S-ar putea să vă stricați serios blogul dvs. WordPress dacă ștergeți ceva greșit. Ai fost avertizat.